Autoryzowanie dostępu do zasobów usługi Event Hubs przy użyciu Microsoft Entra ID
Usługa Azure Event Hubs obsługuje używanie identyfikatora Entra firmy Microsoft do autoryzowania żądań do zasobów usługi Event Hubs. Za pomocą identyfikatora Entra firmy Microsoft możesz użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby udzielić uprawnień jednostce zabezpieczeń, która może być użytkownikiem lub jednostką usługi aplikacji. Aby dowiedzieć się więcej na temat ról i przypisań ról, zobacz Opis różnych ról.
Omówienie
Gdy podmiot zabezpieczeń (użytkownik lub aplikacja) próbuje uzyskać dostęp do zasobu usługi Event Hubs, żądanie musi być autoryzowane. W przypadku identyfikatora Entra firmy Microsoft dostęp do zasobu jest procesem dwuetapowym.
- Najpierw tożsamość podmiotu zabezpieczeń jest uwierzytelniana, a token OAuth 2.0 jest zwracany. Nazwa zasobu do żądania tokenu to
https://eventhubs.azure.net/
, i jest taka sama dla wszystkich chmur/dzierżaw. W przypadku klientów platformy Kafka zasób żądania tokenu tohttps://<namespace>.servicebus.windows.net
. - Następnie token jest przekazywany w ramach żądania do usługi Event Hubs w celu autoryzowania dostępu do określonego zasobu.
Krok uwierzytelniania wymaga, aby żądanie aplikacji zawiera token dostępu OAuth 2.0 w czasie wykonywania. Jeśli aplikacja działa w ramach jednostki platformy Azure, takiej jak maszyna wirtualna platformy Azure, zestaw skalowania maszyn wirtualnych lub aplikacja funkcji platformy Azure, może użyć tożsamości zarządzanej w celu uzyskania dostępu do zasobów. Aby dowiedzieć się, jak uwierzytelniać żądania wysyłane przez tożsamość zarządzaną do usługi Event Hubs, zobacz Uwierzytelnianie dostępu do zasobów usługi Azure Event Hubs przy użyciu identyfikatora Entra firmy Microsoft i tożsamości zarządzanych dla zasobów platformy Azure.
Krok autoryzacji wymaga przypisania co najmniej jednej roli platformy Azure do podmiotu zabezpieczeń. Usługa Azure Event Hubs udostępnia role platformy Azure, które obejmują zestawy uprawnień dla zasobów usługi Event Hubs. Role przypisane do podmiotu zabezpieczeń określają uprawnienia, które będzie miał podmiot zabezpieczeń. Aby uzyskać więcej informacji na temat ról platformy Azure, zobacz Role wbudowane platformy Azure dla usługi Azure Event Hubs.
Aplikacje natywne i aplikacje internetowe, które wysyłają żądania do usługi Event Hubs, mogą również autoryzować za pomocą identyfikatora Entra firmy Microsoft. Aby dowiedzieć się, jak zażądać tokenu dostępu i użyć go do autoryzowania żądań dla zasobów usługi Event Hubs, zobacz Uwierzytelnianie dostępu do usługi Azure Event Hubs przy użyciu identyfikatora Entra firmy Microsoft z aplikacji.
Przypisywanie ról platformy Azure na potrzeby praw dostępu
Firma Microsoft Entra autoryzuje prawa dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu na podstawie ról (RBAC) platformy Azure. Usługa Azure Event Hubs definiuje zestaw wbudowanych ról platformy Azure, które obejmują typowe zestawy uprawnień używanych do uzyskiwania dostępu do danych centrum zdarzeń, a także definiowanie ról niestandardowych na potrzeby uzyskiwania dostępu do danych.
Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń firmy Microsoft Entra platforma Azure udziela dostępu do tych zasobów dla tego podmiotu zabezpieczeń. Dostęp można ograniczyć do poziomu subskrypcji, grupy zasobów, przestrzeni nazw usługi Event Hubs lub dowolnego zasobu. Podmiot zabezpieczeń firmy Microsoft Entra może być użytkownikiem lub jednostką usługi aplikacji albo tożsamością zarządzaną dla zasobów platformy Azure.
Wbudowane role platformy Azure dla usługi Azure Event Hubs
Platforma Azure udostępnia następujące wbudowane role platformy Azure umożliwiające autoryzowanie dostępu do danych usługi Event Hubs przy użyciu identyfikatora Entra firmy Microsoft i protokołu OAuth:
Rola | opis |
---|---|
Właściciel danych usługi Azure Event Hubs | Użyj tej roli, aby zapewnić pełny dostęp do zasobów usługi Event Hubs. |
Nadawca danych usługi Azure Event Hubs | Użyj tej roli, aby udzielić dostępu do wysyłania do zasobów usługi Event Hubs. |
Odbiornik danych usługi Azure Event Hubs | Użyj tej roli, aby przyznać dostęp do zasobów usługi Event Hubs korzystających/odbierających. |
Aby uzyskać wbudowane role rejestru schematów, zobacz Role rejestru schematów.
Zakres zasobu
Przed przypisaniem roli platformy Azure do podmiotu zabezpieczeń określ zakres dostępu, który powinien mieć podmiot zabezpieczeń. Najlepsze rozwiązania określają, że zawsze najlepiej przyznać tylko najwęższy możliwy zakres.
Poniższa lista zawiera opis poziomów, na których można określić zakres dostępu do zasobów usługi Event Hubs, począwszy od najwęższego zakresu:
- Grupa odbiorców: w tym zakresie przypisanie roli ma zastosowanie tylko do tej jednostki. Obecnie witryna Azure Portal nie obsługuje przypisywania roli platformy Azure do podmiotu zabezpieczeń na tym poziomie.
- Centrum zdarzeń: przypisanie roli dotyczy centrów zdarzeń i ich grup odbiorców.
- Przestrzeń nazw: przypisanie roli obejmuje całą topologię usługi Event Hubs w przestrzeni nazw i do skojarzonej z nią grupy odbiorców.
- Grupa zasobów: przypisanie roli dotyczy wszystkich zasobów usługi Event Hubs w grupie zasobów.
- Subskrypcja: przypisanie roli dotyczy wszystkich zasobów usługi Event Hubs we wszystkich grupach zasobów w subskrypcji.
Uwaga
- Pamiętaj, że propagacja przypisań ról platformy Azure może potrwać do pięciu minut.
- Ta zawartość dotyczy zarówno usług Event Hubs, jak i Event Hubs dla platformy Apache Kafka. Aby uzyskać więcej informacji na temat obsługi usługi Event Hubs dla platformy Kafka, zobacz Event Hubs for Kafka — zabezpieczenia i uwierzytelnianie.
Aby uzyskać więcej informacji na temat sposobu definiowania ról wbudowanych, zobacz Omówienie definicji ról. Aby uzyskać informacje na temat tworzenia ról niestandardowych platformy Azure, zobacz Role niestandardowe platformy Azure.
Przykłady
Przykłady microsoft.Azure.EventHubs.
Te przykłady korzystają ze starszej biblioteki Microsoft.Azure.EventHubs , ale można ją łatwo zaktualizować do najnowszej biblioteki Azure.Messaging.EventHubs . Aby przenieść przykład z używania starszej biblioteki do nowej, zobacz Przewodnik migracji z witryny Microsoft.Azure.EventHubs do usługi Azure.Messaging.EventHubs.
Przykłady usługi Azure.Messaging.EventHubs
Ten przykład został zaktualizowany, aby użyć najnowszej biblioteki Azure.Messaging.EventHubs .
Event Hubs dla platformy Kafka — przykłady protokołu OAuth.
Powiązana zawartość
- Dowiedz się, jak przypisać wbudowaną rolę platformy Azure do podmiotu zabezpieczeń, zobacz Uwierzytelnianie dostępu do zasobów usługi Event Hubs przy użyciu identyfikatora Entra firmy Microsoft.
- Dowiedz się , jak tworzyć role niestandardowe przy użyciu kontroli dostępu opartej na rolach platformy Azure.
- Dowiedz się , jak używać identyfikatora Entra firmy Microsoft z EH
Zobacz następujące powiązane artykuły:
- Uwierzytelnianie żądań w usłudze Azure Event Hubs z aplikacji przy użyciu identyfikatora Entra firmy Microsoft
- Uwierzytelnianie tożsamości zarządzanej za pomocą identyfikatora Entra firmy Microsoft w celu uzyskania dostępu do zasobów usługi Event Hubs
- Uwierzytelnianie żądań w usłudze Azure Event Hubs przy użyciu sygnatur dostępu współdzielonego
- Autoryzowanie dostępu do zasobów usługi Event Hubs przy użyciu sygnatur dostępu współdzielonego